Đề tài nghiên cứu, xây dựng giải pháp bảo mật thông tin trong thương mại điện tử an toàn thông tin cho cơ sở dữ liệu

° Các bảng mô tả cơ sở dữ liệu ° Các bảng trao quyền ° Các bảng truy nhập đồng thời Người dùng cuối hoặc các chương trình ứng dụng có thể sử dụng đữ liệu trong co sở đữ liệu, thông qua

BAN CO YEU CHINH PHU

BAO CAO DE TAI NHANH

‘NGHIEN CUU, XAY DUNG GIAI PHAP

BAO MAT THONG TIN TRONG

THUONG MAI DIEN TU”

SAN PHAM SO 3: AN TOAN THONG TIN CHO CO SO DU LIEU

Thuộc đề tài : “Nghiên cứu một số vấn đề kỹ thuật, công nghệ chủ yếu trong

thương mại điện tử và triên khai thứ nghiệm — Mã số KC.01.05”

Hà nội, tháng 9 năm 2004

NOI DUNG

Tổng quan về an toàn cơ sở đữ liệu . - ¿<5 5c ++s+ssssx+ss2 1

1 GiGi thi6u 1

2 Một số khái niệm CSÌDL, - G5 S3 3 ng ng xe 2 3.Vấn đề an toàn trong (CSÏDÌL, - 5 5-5 + S< se S+seesseessesssee 1 6o 0170 0n 12

°J lì 0‹16)9)0 0 30

In 8‹9)9)01)0., 111 34

IẠC (oi nh 34

,“AM§n 0‹:19):) S7 35

Giải pháp bảo vệ dif liu CSDL . 55-5 S55 Sssssxessse 88 Mô hình WInSOCK - - Gì nọ ng 89 I4 vv 0/010 89

2 Xây dựng DLL trên các WInsOCĂK «<5 se x1 3%%53 55552 92 3 Su lién két gitta Client va Server trong m6 hinh Winsock 93

“9 ái li nu 0 c2‹ na 04

May dung Socket an tO 0 99

1 Cac yéu cau khi thiét K@ 99

"8.4 00107 100

Ki — 101

“Win 104

Chương trình thử nghiệm - 5-55 3£ ES2551EE55515551E s5, 107

TONG QUAN VE

AN TOAN THONG TIN TRONG CO SO DU LIEU

1 Giới thiệu

Sự phát triển lớn mạnh của công nghệ thông tin trong những năm qua đã dẫn đến

sử dụng rộng rãi hệ thống máy tính trong mọi tổ chức cá nhân và công cộng, chẳng hạn như ngân hàng, trường học, tổ chức dịch vụ và sản xuất Độ tin cậy của phần

cứng, phần mềm ngày một được nâng cao cùng với việc liên tục giảm giá, tăng kỹ

năng chuyên môn của các chuyên viên thông tin và sự sắn sàng của các công cụ trợ giúp đã góp phần khuyến khích việc sử dụng dịch vụ máy tính một cách rộng rãi

Vì vậy, dữ liệu được lưu giữ và quản lý trong các hệ thống máy tính nhiều hơn Cơ

sở đữ liệu sử dụng các hệ quản trị cơ sở dữ liệu đã đáp ứng được các yêu cầu về lưu

giữ và quản lý dữ liệu

Nhiều phương pháp luận thiết kế cơ sở đữ liệu đã được phát triển nhằm hỗ trợ

các yêu cầu thông tin khác nhau và các môi trường làm việc của ứng dụng Các mô hình dữ liệu khái niệm và lôgíc đã được nghiên cứu, cùng với những ngôn ngữ thích hợp, các công cụ định nghĩa đữ liệu, thao tác và hỏi đáp đữ liệu Mục tiêu là đưa ra các DBMS có khả năng quản trị và khai thác dữ liệu tốt

Một đặc điểm cơ bản của DBMS là khả năng quan lý đồng thời nhiều giao diện ứng dụng Mỗi ứng dụng có một cái nhìn thuần nhất về cơ sở dữ liệu, có nghĩa là có cảm giác chỉ mình nó đang khai thác cơ sở dữ liệu Đây là một yêu cầu hết sức quan trọng đối với các DBMS, ví dụ cơ sở đữ liệu của ngân hàng với các khách

hàng trực tuyến của nó; hoặc cơ sở dữ liệu của các hãng hàng không với việc đặt vé trước

Xử lý phân tán đã góp phần phát triển và tự động hoá các hệ thống thong tin Ngày nay, đơn vị xử lý thông tin của các tổ chức và các chi nhánh ở xa của nó có

thể giao tiếp với nhau một cách nhanh chóng thông qua các mạng máy tính, vì vậy

cho phép truyền tải rất nhanh các khối dữ liệu lớn

Việc sử dụng rộng rãi các cơ sở đữ liệu phân tán và tập trung đã đặt ra nhiều yêu cầu nhằm đảm bảo các chức năng thương mại và an toàn đữ liệu Trong thực tế, các

sự cố trong môi trường cơ sở đữ liệu không chỉ ảnh hưởng đến từng người sử dụng

2

hoặc ứng dụng, mà cịn ảnh hưởng tới tồn bộ hệ thống thơng tin Các tiến bộ trong

kỹ thuật xử lý thơng tin (các cơng cụ và ngơn ngữ) đã đơn giản hố giao diện giữa

người và máy phục vụ cho việc tạo ra các cơ sở dữ liệu đáp ứng được cho nhiều dạng người dùng khác nhau; Vì vậy đã nảy sinh thêm nhiều vấn đề về an tồn

Trong các hệ thống thơng tin, máy tính, kỹ thuật, cơng cụ và các thủ tục an tồn đĩng vai trị thiết yếu, đảm bảo tính liên tục và tin cậy của hệ thống, bảo vệ dữ liệu

và các chương trình khơng bị xâm nhập, sửa đổi, đánh cắp và tiết lộ thơng tin trái phép

An tồn thơng tin trong cơ sở đữ liệu

An tồn thơng tin trong cơ sở dữ liệu bao gồm 3 yếu tố chính: tính bí mật, tồn vẹn và sẵn sàng Trong tài liệu này, các thuật ngữ như gán quyền, bảo vệ và an tồn

sẽ được sử dụng để diễn đạt cùng một nội dung trong các ngữ cảnh khác nhau Chính xác hơn, thuật ngữ gán quyền được sử dụng trong các hệ thống cơ sở đữ liệu,

thuật ngữ bđo vệ thường sử dụng khi nĩi về hệ điều hành, cịn thuật ngữ à fồn được sử dụng chung

Bảo mật là ngăn chặn, phát hiện và xác định những tiếp cận thơng tin trái phép Nĩi chung, bảo mật là bảo vệ dữ liệu trong các mơi trường cần bảo mật cao, ví dụ như các trung tâm quân sự hay kinh té quan trong Tinh riéng tu (privacy) 1a thuat

ngữ chỉ ra quyền của một cá nhân, một nhĩm người, hoặc một tổ chức đối với các

thơng tin, tài nguyên nào đĩ Tính riêng tư được luật pháp của nhiều quốc gia bảo đảm Bí mật là yếu tố quan trọng nhất để đảm bảo an tồn trong các mơi trường, cả

quân sự lẫn thương mại Đảm bảo tính tồn vẹn cĩ nghĩa là ngăn chặn, phát hiện và

xác định các sửa đổi thơng tin trái phép Đảm bảo tính sẵn sàng cĩ nghĩa là ngăn chan, phat hiện và xác định các từ chối truy nhập chính đáng vào các dịch vụ mà hệ thống cung cấp

Trong thiết kế cơ sở dữ liệu, chúng ta cần phân biệt pha quan niệm và pha lôgíc Các mô hình quan niệm và lôgíc tương ứng thường dùng để mô tả cấu trúc của cơ

sở dữ liệu Trong các mô hình này, mô hình lôgíc phụ thuộc vào hệ quản trị cơ sở

đữ liệu, còn mô hình quan niệm thì độc lập với hệ quản trị cơ sở dữ liệu Mô hình

quan hệ thực thể là một trong các mô hình quan niệm phổ biến nhất, được xây dựng đựa trên khái niệm thực thể Thực thể được xem như là lớp các đối tượng của

thế giới hiện thực được mô tả bên trong cơ sở đữ liệu và quan hệ mô tả mối liên hệ

giữa hai hay nhiều thực thể

Trong quá trình thiết kế lôgíc, lược đồ khái niệm được chuyển sang lược đồ

lôgíc, mô tả dữ liệu theo mô hình lôgíc do DBMS cung cấp Các mô hình phân cấp, mạng và quan hệ là các mô hình lôgíc do công nghệ DBMS truyền thống quản lý Các ngôn ngữ sắn có trong DBMS bao gồm ngôn ngữ định nghĩa dữ liệu (DDL),

ngôn ngữ thao tác đữ liệu (DML) và ngôn ngữ hỏi (QL) DDL hỗ trợ định nghĩa

lược đồ cơ sở đỡ liệu lôgíc Các phép toán trên dữ liệu được xác định thì sử dụng DDL, hoac QL Cac thao tác trên cơ sở dữ liệu bao gồm im kiếm, chèn, xoá và cập

nhật Để sử dụng DML, yêu cầu hiểu biết đầy đủ về mô hình, lược đồ logíc và

DML được những người dùng đặc biệt sử dụng, chẳng hạn như các nhà phát triển ứng dụng QL thì ngược lại, nó là ngôn ngữ khai báo hỗ trợ cho người dùng cuối Ngôn ngữ DML, có thể nhúng trong một ngôn ngữ lập trình thông thường, gọi là ngôn ngữ nhúng Vì vậy, các ứng dụng sử dụng ngôn ngữ lập trình có thể đưa vào các câu lệnh của DML, cho các phép toán hướng đữ liệu

° Hỏi đáp cơ sở đữ liệu - QL

° Quản trị cơ sở đữ liệu - DBMS

° Quản lý file

Tập hợp dữ liệu hỗ trợ các môđun này là:

4

° Các bảng mô tả cơ sở dữ liệu

° Các bảng trao quyền

° Các bảng truy nhập đồng thời

Người dùng cuối hoặc các chương trình ứng dụng có thể sử dụng đữ liệu trong co

sở đữ liệu, thông qua các câu lệnh DML hoặc QL Sau đó, DBMS sé biên dịch các câu lệnh này thông qua bộ xử lý DML và QL Kết quả là đưa ra các câu hỏi tối ưu

theo lược đồ cơ sở dữ liệu (đã được trình bày trong các bảng mô tả cơ sở đữ liệu)

Những bảng này được định nghĩa thông qua các câu lệnh của DDL và được trình biên dịch DDL biên dịch Các câu hỏi tối ưu được bộ quản trị cơ sở đữ liệu xử lý và

chuyển thành các thao tác trên các file đữ liệu vật lý

Bộ quản trị cơ sở dữ liệu cũng kiểm tra lại quyền của người dùng và các chương

trình khi truy nhập dữ liệu, thông qua bảng trao quyền truy nhập Các thao tác

được phép được gửi tới bộ quản lý file Bộ quản trị cơ sở dữ liệu cũng chịu trách nhiệm quản lý truy nhập dữ liệu đồng thời Bộ quản trị file sẽ thực hiện các thao tác

này.

vùng làm việc của ứng dụng (tương ứng với câu lệnh retrieval), chuyén di liéu ti

vùng làm việc vào cơ sở dữ liệu (tương ứng với các câu lénh insert, update), hay xoá đữ liệu khỏi cơ sở dữ liệu (câu lénh delete)

2.2 Các mức mô tả dữ liệu

DBMS mô tả dữ liệu theo nhiều mức khác nhau Mỗi mức cung cấp một mức trừu tượng về cơ sở đữ liệu Trong DBMS có thể có các mức mô tả sau:

Khung nhìn logíc (Logical view)

Việc xây dựng các khung nhìn tuỳ thuộc các yêu cầu của mô hình logíc và các

mục đích của ứng dụng Khung nhìn lôgíc mô tả một phần lược đồ cơ sở dữ liệu

lôgíc Nói chung, người ta thường sử dụng DDL để định nghĩa các khung nhìn

logic, DML dé thao tac trén các khung nhìn này

6

Lược đồ dữ liệu lôgíc

Ở mức này, mọi dữ liệu trong cơ sở đữ liệu được mô tả bằng mô hình lôgíc của

DBMS Các dữ liệu và quan hệ của chúng được mô tả thông qua DDL của DBMS Các thao tác khác nhau trên lược đồ lôgíc được xác định thông qua DML của

DBMS dé

Lược đồ dữ liệu vát lý

Mức này mô tả cấu trúc lưu trữ dữ liệu trong các file trên bộ nhớ ngoài Dữ liệu

được lưu trữ đưới dạng các bản ghi (có độ dài cố định hay thay đổi) và các con trỏ trỏ tới bản gh1

Trong mô tả dữ liệu, DBMS cho phép các mức khác nhau hỗ trợ độc lập lôgíc và độc lập vật lý Độc lập lôgíc có nghĩa là: một lược đồ lôgíc có thể được sửa đổi mà không cần sửa đổi các chương trình ứng dụng làm việc với lược đồ này Trong

trường hợp này, mọi thay đổi trên lược đồ lôgíc cần được thay đổi lại trên các

khung nhìn lôgíc có liên quan với lược đồ đó

Độc lập vật lý có nghĩa là: một lược đồ vật lý có thể được thay đổi mà không cần phải thay đổi các ứng dụng truy nhập đữ liệu đó Đôi khi, còn có nghĩa là: các cấu

trúc lưu trữ đữ liệu vật lý có thể thay đổi mà không làm ảnh hưởng đến việc mô tả

lược đồ dữ liệu lôgíc

3 Vấn đề an toàn trong cơ sở dữ liệu

3.1 Các hiểm hoa đối với an toàn cơ sở dữ liệu

Một hiểm hoạ có thể được xác định khi đối phương (người, hoặc nhóm người) sử dụng các kỹ thuật đặc biệt để tiếp cận nhằm khám phá, sửa đổi trái phép thông tin quan trọng do hệ thống quản lý

Các xâm phạm tính an toàn cơ sở dữ liệu bao gồm đọc, sửa, xoá dữ liệu trái phép Thông qua những xâm phạm này, đối phương có thể:

a Khai thác đữ liệu trái phép thông qua suy diễn thông tin được phép

a Sửa đổi đữ liệu trái phép

a Từ chối dịch vụ hợp pháp

Các hiểm hoạ an toàn có thé được phan lớp, tuỳ theo cách thức xuất hiện của chúng, là hiểm hoạ có chủ ý và vô ý (ngẫu nhiên)

Hiểm hoạ ngẫu nhiên là các hiểm hoạ thông thường độc lập với các điều khiển

gây phá hỏng cơ sở đữ liệu, chúng thường liên quan tới các trường hợp sau:

a Các thảm hoạ trong thiên nhiên, chẳng hạn như động đất, hoả hoạn, lụt lội

có thể phá hỏng các hệ thống phần cứng, hệ thống lưu giữ số liệu, dẫn đến

các xâm phạm tính toàn vẹn và sắn sàng của hệ thống

na Các lỗi phần cứng hay phần mềm có thể dẫn đến việc áp dụng các chính sách

an toàn không đúng, từ đó cho phép truy nhập, đọc, sửa đổi đữ liệu trái phép,

hoặc từ chối dịch vụ đối với người dùng hợp pháp

a Các sai phạm vô ý do con người gây ra, chẳng hạn như nhập đữ liệu đầu vào

không chính xác, hay sử dụng các ứng dụng không đúng, hậu quả cũng tương

tự như các nguyên nhân do lỗi phần mềm hay lỗi kỹ thuật gây ra

Những xâm phạm trên liên quan đến hai lớp người dùng sau:

a Người dùng được phép là người có thể lạm dụng quyền, sử dụng vượt quá

quyền hạn được phép của họ

a_ Đối phương là người, hay nhóm người truy nhập thông tin trái phép, có thể là

những người nằm ngoài tổ chức hay bên trong tổ chức Họ tiến hành các hành

vi phá hoại phần mềm cơ sở đữ liệu hay phần cứng của hệ thống, hoặc đọc

ghi đữ liệu trái phép Trong cả hai trường hợp trên, họ đều thực hiện với chủ ý

ro rang

3.2 Các yêu câu bảo vệ cơ sở dữ liệu

Bảo vệ cơ sở đữ liệu khỏi các hiểm hoạ, có nghĩa là bảo vệ tài nguyên, đặc biệt là

đỡ liệu khỏi các thảm hoạ, hoặc truy nhập trái phép Các yêu cầu bảo vệ cơ sở dữ

liệu gồm:

Bdo vệ chống truy nháp trái phép

Đây là một vấn đề cơ bản, bao gồm trao quyền truy nhập cơ sở dữ liệu cho người dùng hợp pháp Yêu cầu truy nhập của ứng dụng, hoặc người dùng phải được DBMS kiém tra Kiểm soát truy nhập cơ sở dữ liệu phức tạp hơn kiểm soát truy

8

nhập file Việc kiểm soát cần tiến hành trên các đối tượng dữ liệu ở mức thấp hon

mức file (chẳng hạn như các bản ghi, các thuộc tính và các giá trị) Dữ liệu trong cơ

sở đữ liệu thường có quan hệ với nhau về ngữ nghĩa, do đó cho phép người sử dụng

có thể biết được giá trị của đữ liệu mà không cần truy nhập trực tiếp, bằng cách suy diễn từ các giá trị đã biết

Bdo vệ chống suy diễn

Suy diễn là khả năng có được các thông tin bí mật từ những thông tin không bí

mật Đặc biệt, suy diễn ảnh hưởng tới các cơ sở dữ liệu thống kê, trong đó người

dùng không được phép dò xét thông tin của các cá thể khác từ các đữ liệu thống kê

đó

Bao vé toàn vẹn cơ sở đữ liệu

Yêu cầu này bảo vệ cơ sở đữ liệu khỏi các truy nhập trái phép mà có thể dẫn đến việc thay đổi nội dung đữ liệu Các lỗi, virus, hỏng hóc trong hệ thống có thể gây

hỏng dữ liệu DBMS đưa ra dạng bảo vệ này, thông qua các kiểm soát về sự đúng đắn của hệ thống, các thủ tục sao lưu, phục hồi và các thủ tục an toàn đặc biệt

Để duy trì tính tương thích của cơ sở đữ liệu, mỗi giao tác phải là một đơn vị tính toán tin cậy và tương thích

Hệ thống khôi phục (recovery system) stt dung nhật ký Với mỗi giao tác, nhật

ký ghi lại các phép toán đã được thực hiện trên dữ liệu (chẳng han nhu read, write, delete, insert), cũng như các phép toán điều khiển giao tác (chẳng hạn như com, abort), ca gid tri ci và mới của các bản ghi kéo theo Hệ thống phục hồi đọc file

nhật ký để xác định giáo tác nào bị huỷ bỏ và giao tác nào cần phải thực hiện lại

Huỷ một giao tác có nghĩa là phục hồi lại giá trị cũ của mỗi phép toán trên bản ghi kéo theo Thực hiện lại giao tác có nghĩa là cập nhật giá trị mới của mỗi phép toán vào bản ghi kéo theo

Các thủ tục an toàn đặc biệt bảo vệ dữ liệu không bị truy nhập trái phép Xây dựng mô hình, thiết kế và thực hiện các thủ tục này là một trong các mục tiêu an toàn cơ sở đữ liệu

Toàn vẹn đữ liệu thao tác

Yêu cầu này đảm bảo tính tương thích lôgíc của đữ liệu khi có nhiều giao tác thực hiện đồng thời

Bộ quản lý tương tranh trong DBMS đảm bảo tính chất khả tuần tự và cô lập của

các giao tác Khả tuần tự có nghĩa là kết quả của việc thực hiện đồng thời một tập hợp các giao tác giống với việc thực hiện tuần tự các giao tác này Tính cô lập để chỉ sự độc lập giữa các giao tác, tránh được hiệu ứng Domino, trong đó việc huỷ bỏ

một giao tác dẫn đến việc huỷ bỏ các giao tác khác (theo kiểu thác đồ)

Vấn đề đảm bảo truy nhập đồng thời vào cùng một thực thể đữ liệu, từ các giao

tác khác nhau, nhưng không làm ảnh hưởng đến tính tương thích của đữ liệu, được giải quyết bằng các kỹ thuật khoá

Các kỹ thuật khoá và giải phóng khoá được thực hiện theo nguyên tắc: khoá các

mục dữ liệu trong một khoảng thời gian cần thiết để thực hiện phép toán và giải

phóng khoá khi phép toán đã hoàn tất Tuy nhiên kỹ thuật này không đảm bảo tính khả tuần tự Nhược điểm này được khắc phục bằng cách sử dụng kỹ thuật khoá hai

pha

Toàn vẹn ngữ nghĩa của dữ liệu

Yêu cầu này đảm bảo tính tương thích lôgíc của các đữ liệu bị thay đổi, bằng

cách kiểm tra các giá trị dữ liệu có nằm trong khoảng cho phép hay không Các hạn

chế (trên các giá trị dữ liệu) được biểu diễn như là các ràng buộc toàn vẹn Các ràng buộc có thể được xác định trên toàn bộ cơ sở đữ liệu hoặc là cho một số các giao tác

Khả năng lưu vết và kiểm tra

Yêu cầu này bao gồm khả năng ghi lại mọi truy nhập tới dỡ liệu (với các phép

toán read va write) Kha nang kiém tra và lưu vết đảm bảo tính toàn vẹn đữ liệu vật

lý và trợ giúp cho việc phân tích dãy truy nhập vào cơ sở dữ liệu

Xác thực người dùng

Yêu cầu này thực sự cần thiết để xác định tính duy nhất của người dùng Định

danh người dùng làm cơ sở cho việc trao quyền Người dùng được phép truy nhập

đữ liệu, khi hệ thống xác định được người dùng này là hợp pháp

10

Quản lý và bảo vệ dữ liệu nhạy cảm

Có những cơ sở dữ liệu chứa nhiều dữ liệu nhạy cảm (là những dữ liệu không nên đưa ra công bố công khai) Có những cơ sở dữ liệu chỉ chứa các dữ liệu nhạy

cảm, chẳng hạn như đỡ liệu quân sự, còn có các cơ sở đữ liệu mang tính công cộng,

chẳng hạn như các cơ sở đữ liệu của thư viện

Các cơ sở dữ liệu bao gồm cả thông tin nhạy cảm và thông tin thường cần phải

có các chính sách quản lý phức tạp hơn Một mục dữ liệu là nhạy cảm khi chúng được người quản trị cơ sở đữ liệu (DBA) khai báo là nhạy cảm

Kiểm soát truy nhập vào các cơ sở đữ liệu bao hàm: bảo vệ tính tin cậy cha dit liệu nhậy cảm và chỉ cho phép người dùng hợp pháp truy nhập vào Những người dùng này được trao một số quyền thao tác nào đó trên dữ liệu và không được phép lan truyền chúng Do vậy, người dùng có thể truy nhập vào các tập con đữ liệu nhạy cảm

Bao vé nhiéu mitc

Bảo vệ nhiều mức bao gồm một tập hợp các yêu cầu bảo vệ Thông tin có thể được phân loại thành nhiều mức khác nhau, ví dụ các cơ sở dữ liệu quân sự cần

được phân loại chi tiết hơn (mịn hơn) các cơ sở đữ liệu thông thường, có thể có nhiều mức nhạy cảm khác nhau Mục đích của bảo vệ nhiều mức là phân loại các mục thông tin khác nhau, đồng thời phân quyền cho các mức truy nhập khác nhau

vào các mục riêng biệt Một yêu cầu nữa đối với bảo vệ nhiều mức là khả năng gán

mức cho các thông tin

Sự hạn chế

Mục đích của việc hạn chế là tránh chuyển các thông tin không mong muốn giữa các chương trình trong hệ thống, ví dụ chuyển đữ liệu quan trọng tới các chương trình không có thẩm quyền Các kênh được phép cung cấp thông tin thông qua các

hoạt động được phép, như soạn thảo hay biên dịch một file Kênh bộ nhớ là các

vùng bộ nhớ, nơi một chương trình có thể lưu giữ dữ liệu, các chương trình khác cũng có thể đọc đữ liệu này Kênh ngầm là kênh truyền thông dựa trên việc sử dụng

tài nguyên mà không có ý định truyền thông giữa các tiến trình của hệ thống

4 Kiểm soát an toàn

11

Có thể bảo vệ được co sở đữ liệu thông qua các phương pháp an toàn sau:

a Kiểm soát luồng

a Kiểm soát suy dién

a Kiểm soát truy nhập

Với các kiểm soát này, kỹ thuật mật mã có thể được đưa vào để mã hoá dữ liệu

với khoá mã bí mật Thông qua kỹ thuật này, bí mật của thông tin được bảo đảm,

bang cách tạo ra dữ liệu mà ai cũng có thể nhìn được nhưng chỉ người dùng hợp

pháp mới hiểu được

4.1 Kiểm soát luồng

Các kiểm soát luồng điều chỉnh phân bố luồng thông tin giữa các đối tượng có

khả năng truy nhập Một luồng giữa đối tượng X và đối tượng Y xuất hiện khi có một lệnh đọc (ea3) giá trị từ X và ghi (wrie) giá trị vào Y Kiểm soát luồng là

kiểm tra xem thông tin có trong một số đối tượng có chảy vào các đối tượng có

mức bảo vệ thấp hơn hay không

Các chính sách kiểm soát luồng cần phải chỉ ra các luồng có thể được chấp nhận, hoặc phải điều chỉnh

Thông thường, trong kiểm soát luồng người ta phải tính đến việc phân loại các

phần tử của hệ thống, đó là các đối ượng và chủ thể Các phép toán được phép (read va write) dua trên quan hệ giữa các lớp Phép toán reađ đối tượng có mức bảo

vệ cao hon bị kiểm soát nhiều hơn Kiểm soát luồng ngăn chặn việc chuyển thông tin vào các mức dễ truy nhập hơn Vấn đề của chính sách kiểm soát luồng được giải

quyết bằng cách xác định các phép toán cho phép chuyển thông tin tới các mức

thấp hơn mà vẫn giữ nguyên được mức nhạy cảm của những đối tượng này

4.2 Kiểm soát suy diễn

Kiểm soát suy diễn nhằm mục đích bảo vệ dữ liệu không bị khám phá gián tiếp

Kênh suy diễn là kênh mà ở đó người dùng có thể tìm thấy mục đữ liệu X, sau đó

sử dụng X để suy ra mục đữ liệu Y, thông qua Y=f(X)

Các kênh suy diễn chính trong hệ thống là:

12

(1) Truy nhập gián tiếp: điều này xảy ra khi người (không được trao quyển)

khám phá ra bộ dữ liệu Y thông qua các câu hỏi truy vấn được phép trên dữ liệu X,

cùng với các điều kiện trên Y

(2) Dữ liệu tương quan: Dữ liệu tương quan là một kênh suy diễn đặc trưng, xảy

ra khi dữ liệu có thể nhìn thấy được X và dữ liệu không thể nhìn thấy được Y kết

nối với nhau mặt ngữ nghĩa Kết quả là có thể khám phá được thông tin về Y nhờ

doc X

(3) Thiếu dữ liệu: Kênh thiếu đữ liệu là một kênh suy diễn mà qua đó, người

dùng có thể biết được sự tồn tại của một tập giá trị X Đặc biệt, người dùng có thể tìm được tên của đối tượng, mặc dù họ không được phép truy nhập vào thông tin

chứa trong đó

Suy diễn thống ké là một khía cạnh khác của suy diễn dữ liệu Trong các cơ sở

đỡ liệu thống kê, người dùng không được phép truy nhập vào các dữ liệu đơn lẻ, chỉ được phép truy nhập vào dữ liệu thông qua các hàm thống kê Tuy nhiên với một

người có kinh nghiệm, anh ta vẫn có thể khám phá được dữ liệu thông qua các

thống kê đó

4.3 Kiểm soát truy nhập

Kiểm soát truy nhập trong các hệ thống thông tin là đảm bảo mọi truy nhập trực tiếp vào các đối tượng của hệ thống tuân theo các kiểu và các quy tắc đã được xác

định trong chính sách bảo vệ Một hệ thống kiểm soát truy nhập (hình 2) bao gồm các chủ thể (người dùng, tiến trình) truy nhập vào đối tượng (đữ liệu, chương trình)

thông qua các phép toan read, write, run

Truy nhập bị

truy nhap ———*| kiếm soát ` được phép

Hinh 2 Hệ thống kiểm soát truy nhập Xét về mặt chức năng, nó bao gồm hai thành phần:

1) Tập các chính sách và quy tắc truy nhập: bao gồm các thông tin về chế độ truy nhập mà các chủ thể có thể có được khi truy nhập các đối tượng

2) Tập các thủ tục kiểm soát (các kỹ thuật an toàn): Kiểm tra các câu hỏi (các yêu cầu truy nhập) dựa vào các quy tắc đã được xác định (quá trình phê chuẩn câu hỏi); các câu hỏi này có thể được phép, bị từ chối hoặc bị sửa đổi

Các chính sách an toàn

Chính sách an toàn của hệ thống là các hướng dẫn ở mức cao, có liên quan đến

việc thiết kế và quản lý hệ thống trao quyền Nhìn chung, chúng biểu diễn các lựa

chọn cơ bản nhằm đảm bảo mục tiêu an toàn dữ liệu Chính sách an toàn định nghĩa các nguyên tắc, trong đó quy định truy nhập nào được trao hoặc bị từ chối

Các quy tắc trao quyền (quy tắc truy nhập) là các biểu diễn của chính sách an toàn; Chúng quyết định hành vi của hệ thống trong thời gian chạy Các chính sách

an toàn nên xác định: làm thế nào để quản lý được tập các quy tắc quyền (chèn và sửa đổi) Sau đây là một ví dụ về chính sách an toàn

Trong vấn đề giới hạn truy nhập, một câu hỏi đặt ra là "Mỗi chủ thể có được

phép truy nhập bao nhiêu thông tin" Chúng ta có hai chính sách sau đây:

L) Chính sách đặc quyền tối tiểu: còn được gọi là chính sách "cần - để - biết"

(need-to-know) Theo chính sách này, các chủ thể của hệ thống nên sử dụng

một lượng thông tin tối thiểu cần cho hoạt động của chúng Đôi khi, việc ước

tính lượng thông tin tối thiểu này là rất khó Điểm hạn chế của chính sách này

đưa ra các hạn chế khá lớn và vô ích đối với các chủ thể vô hại

2) Chính sách đặc quyền tối đa: dựa vào nguyên tắc "khả năng sắn sàng tối đa"

của dữ liệu, vì vậy mức độ chia xẻ là cực đại Chính sách này phù hợp với các môi trường (chang hạn như trường đại học, trung tâm nghiên cứu), việc bảo

vệ nghiêm ngặt tại những nơi này thực sự không cần thiết, do các yêu cầu về

độ tin cậy người dùng và trao đổi dữ liệu

14